9,506
社区成员
发帖
与我相关
我的任务
分享请发表友善的回复…
发表回复
qf_ok 2001-10-22
- 打赏
- 举报
与NIMDN无关,浏览网页不行,其原因很多,但是很少和NIMDN有关的~~~NIMDN的特征不是这些~~
BadCatw 2001-10-11
- 打赏
- 举报
送分
allanic 2001-10-04
- 打赏
- 举报
都重装了,应该不关病毒的事了吧。
用QQ可以,浏览网页不行,是不是DNS没设对?
用QQ可以,浏览网页不行,是不是DNS没设对?
slik 2001-10-04
- 打赏
- 举报
与NIMDN无关
BadCatw 2001-10-02
- 打赏
- 举报
可为什么都是中了NIMDA的机子不能浏览网页呢?我以经清除了病毒,还是不管用。格式化后重装了好几次,还是不管。用QQ就可以,真是奇怪。
xqiqi 2001-09-30
- 打赏
- 举报
浏览器无法浏览网页不一定与NIMDA有关!
xqiqi 2001-09-30
- 打赏
- 举报
NIMDA蠕虫病毒
Nimda倒过来就是“admin”,是系统管理员的缩写,很快就通过互联网感染了PC和服务器。该蠕虫第一个使用四种不同方式袭击运行Windows 95, Windows 98, Windows Me 和Windows 2000系统的PC,以及运行Windows 2000的服务器。
这个病毒实际上可以称为“Happytime”和“Codeblue”的混合体,病毒这个病毒会通过email传播,当用户邮件的正文为空,似乎没有附件,实际上邮件中嵌入了病毒的执行代码,当用户用OUTLOOK、OUTLOOK EXPRESS(没有安装微软的补丁包的情况下)收邮件,在预览邮件时,病毒就已经不知不觉中执行了。
计算机病毒防治产品检验中心暨国家计算机病毒应急处理中心2001年9月19日晨接到用户报告,发现一种新型计算机病毒,经分析确认,该病毒是昨日在美国发现的Nimda蠕虫病毒,我们已经接到北京、深圳、厦门、安徽、成都、苏州等地的用户感染报告,该病毒已经侵入我国的计算机网络,并在迅速蔓延。
一、攻击的目标系统:
该病毒可以感染Windows 95, 98, ME, NT,或者2000 ,以及 Windows NT and 2000服务器。
二、传播方式:
1、 通过邮件传播出,当用户邮件的正文为空,似乎没有附件,实际上邮件中嵌入了病毒的执行代码,当用户用OUTLOOK、OUTLOOK EXPRESS(没有安装微软的补丁包的情况下)收邮件,在预览邮件时,病毒就已经执行了。
2、利用了IIS的漏洞,采用与“红色代码II”和“蓝色代码”类似的方式,通过网络传播。
3、通过局域网的共享传播到其他系统。
三、如何判定感染Nimda蠕虫病毒
1、感染此病毒的NT和2000服务器,在WINNT\SYSTEM32\LOGFILES\W3SVC1目录下的日志文件中含有以下内容
GET /scripts/root.exe?/c+dir
GET /MSADC/root.exe?/c+dir
GET /c/winnt/system32/cmd.exe?/c+dir
GET /d/winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
GET /msadc/..%5c../..%5c../..%5c/..\xc1\x1c../..\xc1\x1c../..\xc1\x1c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc1\x1c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc0/../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc0\xaf../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc1\x9c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%2f../winnt/system32/cmd.exe?/c+dir
2、system.ini文件内容被修改
正常情况为:Shell = explorer.exe
感染病毒后变为:Shell = explorer.exe load.exe -dontrunold
3、在windows/system目录下存在如下文件load.exe、 riched20.dll 。
4、在磁盘的可写目录中创建后缀为eml的文件。
四、解决方案 :
1:去掉网络共享,防止进一步通过内网传染。
2:下载安装补丁程序
IIS的补丁如下:
<<http://www.microsoft.com/technet/security/bulletin/MS01-044.asp>>
客户端用户的补丁如下:
<<http://www.microsoft.com/technet/security/bulletin/MS01-020.asp>>
3:将system.ini中的Shell = explorer.exe load.exe -dontrunold 改为Shell = explorer.exe
4:删除system目录下的load.exe、 riched20.dll 文件。
5:删除wininit.ini文件中的内容。
整体解决方案( new )
当务之急是我们要先解决和防御Nimda带来的破坏,另外我们需要比以往任何时候都要重视网络安全的问题,通过构建自身有效的安全防御系统来亡羊补牢、防患于未然。 解决然眉之急--Nimda的清查方案 可按照如下步骤手动清毒:
1,从微软网站
http://www.microsoft.com/technet/security/bulletin/ms00-078.asp和http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
下载相应补丁并执行,然后关闭本机的所有共享。
2,按ctrl-alt-del,结束 "xxx.tmp.exe"以及"Load.exe"的进程。
3,删除temp目录中的文件。
4,用干净的 Riched20.DLL(大约100k)文件替换染毒的同名Riched20.DLL文件(57344字节)。
5,删除系统目录下的load.exe文件(57344字节),windows根目录下的mmc.exe文件,在C:\、D:\、E:\三个逻辑盘的根目录下如果有Admin.DLL文件,删除这些文件,查找文件名为Readme.eml的文件,删除它。
6, System.ini文件[load]中如果有一行"shell=explorer.exe load.exe -dontrunold",改为"shell=explorer.exe"
7, 删除
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Network\LanMan\ 和HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\MapMail\ 的键值。
8, 如果是WinNT或者Win2000,打开"控制面板|用户和密码",将Administrator组中的guest帐号删除。 KILL的最新病毒特征码28.06已可查杀此病毒。
Nimda倒过来就是“admin”,是系统管理员的缩写,很快就通过互联网感染了PC和服务器。该蠕虫第一个使用四种不同方式袭击运行Windows 95, Windows 98, Windows Me 和Windows 2000系统的PC,以及运行Windows 2000的服务器。
这个病毒实际上可以称为“Happytime”和“Codeblue”的混合体,病毒这个病毒会通过email传播,当用户邮件的正文为空,似乎没有附件,实际上邮件中嵌入了病毒的执行代码,当用户用OUTLOOK、OUTLOOK EXPRESS(没有安装微软的补丁包的情况下)收邮件,在预览邮件时,病毒就已经不知不觉中执行了。
计算机病毒防治产品检验中心暨国家计算机病毒应急处理中心2001年9月19日晨接到用户报告,发现一种新型计算机病毒,经分析确认,该病毒是昨日在美国发现的Nimda蠕虫病毒,我们已经接到北京、深圳、厦门、安徽、成都、苏州等地的用户感染报告,该病毒已经侵入我国的计算机网络,并在迅速蔓延。
一、攻击的目标系统:
该病毒可以感染Windows 95, 98, ME, NT,或者2000 ,以及 Windows NT and 2000服务器。
二、传播方式:
1、 通过邮件传播出,当用户邮件的正文为空,似乎没有附件,实际上邮件中嵌入了病毒的执行代码,当用户用OUTLOOK、OUTLOOK EXPRESS(没有安装微软的补丁包的情况下)收邮件,在预览邮件时,病毒就已经执行了。
2、利用了IIS的漏洞,采用与“红色代码II”和“蓝色代码”类似的方式,通过网络传播。
3、通过局域网的共享传播到其他系统。
三、如何判定感染Nimda蠕虫病毒
1、感染此病毒的NT和2000服务器,在WINNT\SYSTEM32\LOGFILES\W3SVC1目录下的日志文件中含有以下内容
GET /scripts/root.exe?/c+dir
GET /MSADC/root.exe?/c+dir
GET /c/winnt/system32/cmd.exe?/c+dir
GET /d/winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
GET /msadc/..%5c../..%5c../..%5c/..\xc1\x1c../..\xc1\x1c../..\xc1\x1c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc1\x1c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc0/../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc0\xaf../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc1\x9c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%2f../winnt/system32/cmd.exe?/c+dir
2、system.ini文件内容被修改
正常情况为:Shell = explorer.exe
感染病毒后变为:Shell = explorer.exe load.exe -dontrunold
3、在windows/system目录下存在如下文件load.exe、 riched20.dll 。
4、在磁盘的可写目录中创建后缀为eml的文件。
四、解决方案 :
1:去掉网络共享,防止进一步通过内网传染。
2:下载安装补丁程序
IIS的补丁如下:
<<http://www.microsoft.com/technet/security/bulletin/MS01-044.asp>>
客户端用户的补丁如下:
<<http://www.microsoft.com/technet/security/bulletin/MS01-020.asp>>
3:将system.ini中的Shell = explorer.exe load.exe -dontrunold 改为Shell = explorer.exe
4:删除system目录下的load.exe、 riched20.dll 文件。
5:删除wininit.ini文件中的内容。
整体解决方案( new )
当务之急是我们要先解决和防御Nimda带来的破坏,另外我们需要比以往任何时候都要重视网络安全的问题,通过构建自身有效的安全防御系统来亡羊补牢、防患于未然。 解决然眉之急--Nimda的清查方案 可按照如下步骤手动清毒:
1,从微软网站
http://www.microsoft.com/technet/security/bulletin/ms00-078.asp和http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
下载相应补丁并执行,然后关闭本机的所有共享。
2,按ctrl-alt-del,结束 "xxx.tmp.exe"以及"Load.exe"的进程。
3,删除temp目录中的文件。
4,用干净的 Riched20.DLL(大约100k)文件替换染毒的同名Riched20.DLL文件(57344字节)。
5,删除系统目录下的load.exe文件(57344字节),windows根目录下的mmc.exe文件,在C:\、D:\、E:\三个逻辑盘的根目录下如果有Admin.DLL文件,删除这些文件,查找文件名为Readme.eml的文件,删除它。
6, System.ini文件[load]中如果有一行"shell=explorer.exe load.exe -dontrunold",改为"shell=explorer.exe"
7, 删除
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Network\LanMan\ 和HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\MapMail\ 的键值。
8, 如果是WinNT或者Win2000,打开"控制面板|用户和密码",将Administrator组中的guest帐号删除。 KILL的最新病毒特征码28.06已可查杀此病毒。
smartzhou 2001-09-30
- 打赏
- 举报
浏览器无法浏览网页的原因太多了,一般应该和病毒没有关系。多数是设置和网络
方面的问题
方面的问题
wingafra 2001-09-30
- 打赏
- 举报
或者手动杀毒,请参看已解决问题!
Sjtu_sf0124 2001-09-30
- 打赏
- 举报
同意 楼上!
explorer007 2001-09-30
- 打赏
- 举报
NIMDA不死的幽灵,害了多少人啊?!
升级IE吧!
详见http://www.iduba.net/secure/200109201370.htm
升级IE吧!
详见http://www.iduba.net/secure/200109201370.htm
